如何做到可能访问防火墙后的windows机子的远程终端

辉格党

我有机子，前面用linux做了iptalbes 防火墙，如何设置可能透过防火墙到达我的windows 2000的机子，并可能访问windows 2000的远程终端

platinum

假如你后面的机器IP是192.168.0.2
假如你的防火墙IP是192.168.0.1
假如你在.2上开了HTTP服务，想让外面的人访问到
又因为你用的是iptables做防火墙
所以……
iptables -A PREROUTING -t nat -p tcp -s ! 192.168.0.0/24 --dport 80 -j DNAT --to 192.168.0.2:80

另外，你说的透过防火墙可能是说开放某个端口，如果开放所有端口的话，防火墙就没用了，但可以开放某个IP后某段IP

pangty

[quote]原帖由 "辉格党"]我有机子，前面用linux做了iptalbes 防火墙，如何设置可能透过防火墙到达我的windows 2000的机子，并可能访问windows 2000的远程终端[/quote 发表：


假设eth0为防火墙外网卡，ip地址w.w.w.w，eth1为防火墙内网卡，ip地址为10.18.146.254，内部网地址为10.181.46.0/24，局域网内你的机器地址为x.x.x.x

# remote desktop 工作在 tcp 3389 端口
iptables -A FORWARD -i eth0 -o eth1 -d $myip -p tcp --dport 3389 -m state --state NEW -j ACCEPT
iptables -t nat -A PREROUTING -d w.w.w.w -p tcp --dport 3389 -j DNAT --to-destination x.x.x.x
iptables -t nat -A POSTROUTING -s 10.18.146.0/24 -d $myip -p tcp --dport 3389 -j SNAT --to-source 10.18.146.254

其他服务只要知道其端口号，就可以用上面的方法做到。

辉格党

呵呵，谢谢楼上的两位兄第，还有一问题，就是我使用完了3389后，我怎么停用这条规则啊,等到我想连时时我再使用这条规则啊

pangty

直接用iptables删除相应规则
  --delete  -D chain            Delete matching rule from chain
  --delete  -D chain rulenum
                                Delete rule rulenum (1 = first) from chain